Cloudflare Origin Certificate — бесплатный SSL-сертификат, подписанный Cloudflare CA. Действует до 15 лет и не требует автопродления. Используется вместо Let's Encrypt для упрощения управления.
Отличия от Let's Encrypt
| Параметр | Origin Certificate | Let's Encrypt |
|---|---|---|
| Срок действия | До 15 лет | 90 дней |
| Автопродление | Не нужно | Настраивается |
| Доверие браузеров | Только через Cloudflare | Все браузеры ✅ |
| Стоимость | Бесплатно | Бесплатно |
| Wildcard | ✅ Да | ✅ (через DNS) |
⚠️ Origin Certificate доверяется браузерами ТОЛЬКО через Cloudflare Proxy. Если отключить Cloudflare (серое облако) — браузер покажет ошибку SSL. Не используйте вне Cloudflare.
Создание Origin Certificate
SSL/TLS → Origin Server → Create Certificate:
- Hostnames: example.com, *.example.com
- Certificate Validity: 15 years
- Key type: RSA (2048) или EC (P-256)
Скачайте: Certificate (.pem) и Private Key (.key).
Установка на Nginx
# Сохранить файлы
sudo cp origin_cert.pem /etc/ssl/cloudflare/cert.pem
sudo cp private_key.key /etc/ssl/cloudflare/key.pem
sudo chmod 600 /etc/ssl/cloudflare/key.pem
# Конфиг Nginx
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/ssl/cloudflare/cert.pem;
ssl_certificate_key /etc/ssl/cloudflare/key.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
}Установка на Apache
<VirtualHost *:443>
ServerName example.com
SSLEngine on
SSLCertificateFile /etc/ssl/cloudflare/cert.pem
SSLCertificateKeyFile /etc/ssl/cloudflare/key.pem
</VirtualHost>✅ После установки Origin Certificate переключите Cloudflare SSL в Full (Strict) — это обязательно для корректной работы сертификата.